当前位置: 首页 > news >正文

未验证签名绕过JWT认证

news 2026/5/12 21:17:06

一.未验证签名绕过JWT认证

​靶场地址​:实验室:通过未验证签名绕过JWT认证 |网络安全学院

​原理​:
由于服务器未对jwt​签名进行验证,导致任何人生成的jwt​都可以通过认证

​靶场复现​:
准备工具:
​burpsuite​加上jwt editor​插件拓展

​目的​:
伪造用户访问后台/admin​,越权删除账户carlos​

1.启动靶场,登录账号密码 wiener:peter​,抓取带有自身jwt的数据包进行修改


显示401 未授权,需要administrator​用户才可以访问/admin​

2.发送到repeater​模块,点击Json Web Token​直接修改sub的值为administrator​

成功200​

可以来到浏览器替换jwt访问/admin​页面点击删除,也可以直接在burpsuit​上修改url​访问路径/admin/delete?username=carlos​删除用户
这里我替换好了


这里直接删除就好了

http://www.jsqmd.com/news/804593/

相关文章:

  • 手把手教你用逻辑分析仪抓取并解析CP2102的UART-TTL信号(从接线到读数据)
  • 碳酸锂期货现货齐涨:2026年储能需求与供应收缩共振分析
  • SpringBoot+Vue 中药实验管理系统管理平台源码【适合毕设/课设/学习】Java+MySQL
  • 2026年AI大模型接口加速站亲测:六家平台横评,诗云API(ShiyunApi)成最优之选
  • taotoken的token plan套餐让长期使用的成本预测变得简单
  • 厚街网吧哪家值得推荐:秒杀网吧宝藏店铺 - 19120507004
  • AI编程助手效率革命:结构化配置与提示词工程实战
  • EDA工程师如何高效筛选与参与技术会议:从ICCAD到职业发展
  • 使用Taotoken聚合平台后api调用延迟与稳定性观测记录
  • 两相液冷:已从散热迈向控温
  • 英语阅读_marathon
  • 量子纠错AI预解码器:加速表面码实时处理
  • 开发AI智能体时利用Taotoken统一调度多模型提升任务完成率
  • 应用间自动化网关:构建私有化、可编程的跨平台工作流中枢
  • CPT Markets:国际监管框架下的稳健运营
  • 华大半导体HC32F4A0实战(五):基于CMSIS-DSP的实时信号频谱分析
  • 抖音无水印视频下载终极指南:免费快速保存高清内容
  • 告别转矩脉动!用Matlab手把手教你搭建三电平SVPWM异步电机DTC仿真模型(附12扇区矢量图详解)
  • KLayout终极指南:5分钟快速上手开源版图设计工具
  • 厚街茶馆哪家值得推荐:秒杀茶馆效率之王 - 17329971652
  • 初次使用 Taotoken 开发者如何快速查看自己的 API 用量明细
  • WPF中OxyPlot不同图表的使用
  • 小熊派gd32f303实战指南(9)— 硬件I2C驱动AT24C02 EEPROM从零到一
  • 抖音无水印下载神器:3分钟掌握批量下载与直播录制全攻略
  • 厚街台球厅哪家值得推荐:秒杀台球厅宝藏之地 - 13724980961
  • 终极指南:5分钟搭建SillyTavern AI聊天前端,解锁个性化角色对话体验
  • 无人机RGBT双模态小目标行人检测:数据集+YOLOv8融合方案
  • 构建AI助手持久记忆系统:Rekall项目实践与MCP协议应用
  • 66%开发者被AI坑过!我Debug AI代码的3个“血泪”教训
  • WarcraftHelper:3步解决魔兽争霸3卡顿与兼容性问题终极指南